微軟控告殭屍網路ZeuS、SpyEye和Ice IX幕後黑手
作者:趨勢科技資深分析師Rik Ferguson
經過允許使用bixentro的Flickr相片
在提交給法院長達162頁的文件裡,微軟和金融服務與資訊服務分析中心(FS-ISAC) – 一個代表4400個金融機構的經貿團體,還有NACHA – 電子付款協會一起控告了ZeuS、SpyEye和Ice IX殭屍網路/傀儡網路 Botnet背後的犯罪份子。
ZeuS、Ice-IX和SpyEye程式在網路犯罪史上有著漫長而惡名昭著的一席之地,ZeuS從2006年開始出現(2007年被告到法院),它要為數百個殭屍網路/傀儡網路 Botnet以及從消費者和企業的銀行帳戶中被竊取的數百萬英鎊負責。SpyEye原本是ZeuS的競爭對手,甚至當它發現目標電腦上有ZeuS存在,還會去移除它。但最近這兩個程式碼已經被合併成一個單一犯罪軟體了。
去年,資訊安全廠商接獲一連關於「Nitro Attack」 此 APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)通報。它所採用的後門程式為 PoisonIvy,亦稱 BKDR_POISON。網路上可以找到此後門程式的產生器。當時,資訊安全場商已採取反制措施來協助客戶對抗這項威脅並防範未來類似的感染。但是,從最近發現的一些匿蹤機制來看,對抗該惡意程式的戰鬥尚未結束。
當趨勢科技第一次分析這個惡意下載程式時,原本以為它沒有什麼驚人之處。它是一個由 Visual Basic 編譯出來的執行檔案,所做的事情不過就是透過 HTTP GET 來開啟某個 HTML 網頁。
當趨勢科技透過瀏覽器連上該網頁時,表面上看起來也是一個無害的網頁,但是經過詳細解碼之後裡面卻大有文章。
如同微軟所指出,此惡意下載程式有別於其他程式。它不會下載二進位檔案來執行,但它會執行已下載檔案當中看似無害的一些代碼。要達成此目的,惡意程式會將文字內容轉成可執行的程式碼,然後呼叫 DllFunctionCall 來執行。
而它所執行的程式碼其實就是 BKDR_POISON 惡意程式家族的變種,此惡意程式家族涉及了去年多起鎖定特定目標攻擊。
BKDR_POISON 背景簡介
BKDR_POISON 惡意程式家族亦稱為 PoisonIvy (毒藤),已經在網路上肆瘧多年。原因是它的產生器很容易使用,而且可從其網站免費下載。其自動啟用機制以及 mutex 和惡意檔案名稱皆可透過產生器輕易設定,因此,每一個產生出來的樣本,其行為可能不盡相同。
BKDR_POISON 的後門程式功能包括:鍵盤側錄、聲音/影像側錄、畫面擷取、處理程序和服務管理,檔案存取或上傳、以及其他等等。簡而言之,它基本上可讓其使用者完全存取受感染的系統。
此外,BKDR_POISON 也很容易整合至其他惡意程式,因為其後門程式產生器也提供了選項讓使用者產生一段 shellcode 攻擊程式碼,而非完整的執行檔。
在前述的 Nitro Attack 惡意下載程式案例中,一旦它執行了 BKDR_POISON 的 shellcode,就能因而繼承其後門程式特性。
由於 shellcode 不像獨立的二進位執行檔可單獨偵測並分析,它必須和繼承其特性的執行檔一併分析才看得出端倪。因此,資訊安全研究人員若沒有拿到配對的 shellcode 和執行檔 (例如,執行檔經過加密或隱藏),那麼很可能就不會偵測到 shellcode。
俗話說得好,戲法人人會變,各有巧妙不同。在做資安事件調查時,也會用上許多不同的方式來進行,加上各種的專業知識。特別是在調查使用多個組件的惡意軟體加上難搞C&C網路的攻擊事件時。
但即使分析方法會改變,可能透過反向工程或是殭屍網路/傀儡網路 Botnet分析,但最重要的還是要了解威脅本身。
趨勢科技在監控KOOBFACE活動和技術分析上交出很棒的成績單。讓我們對這殭屍網路有密切的了解,也使我們可以快速反應,並且用適當的解決方案來保護我們的客戶。
Koobface的高峰期
在高峰期時,KOOBFACE最為人所知的就是(在當時)會透過急速成長的社群網路Facebook來傳播。但是當然,還不止於此。
在2008到2009年間,Facebook剛剛成為社群網路的主導者,也正開始和其他同類型的社群網站拉開距離(像是MySpace、Twitter、Friendster和myyearbook等等)。
我們對Koobface的第一份研究報告提供了詳細的說明,KOOBFACE並不只是在Facebook上散播,在這段期間還會利用其他流行的社群網站。趨勢科技的報告還指出,一旦系統被KOOBFACE惡意軟體所感染,會被安裝另外的惡意軟體到系統內,然後利用受駭使用者的網路流量來賺錢,或是將這受駭電腦變成Koobface殭屍網路/傀儡網路 Botnet的一部分。
Koobface和它的C&C網路
趨勢科技的新發現讓我們發表了第二份研究報告,更深入的探討C&C網路和通訊過程。在這裡,我們發現了 KOOBFACE 駭客集團所能控制的各個層面。從巧妙地利用受駭使用者來發出社交工程陷阱攻擊用的垃圾訊息,到 KOOBFACE 駭客集團所使用的各種組件、帳號、網路架構和指令。
趨勢科技最近看到有惡意軟體會從中毒使用者的電腦裡收集微軟Word和Excel文件檔,然後上傳到網路硬碟sendspace.com。Sendspace是一個網路分享空間,提供了檔案代管功能,讓使用者可以「發送、接收、追蹤和分享你的大檔案。」
Sendspace最近曾被用來存放偷來的資料,但並不是透過惡意軟體自動完成。根據去年底的報告,駭客利用Sendspace來處理跟上傳偷來的資料。
但這是第一次,趨勢科技看到有惡意軟體會將竊取的資料上傳到檔案代管與傳送網站。
這次的惡意軟體攻擊是從一個被偵測為TROJ_DOFOIL.GE的檔案 – Fedex_Invoice.exe開始。
為了要讓使用者受到感染,一個用社交工程陷阱偽裝成聯邦快遞貨運通知的電子郵件大量寄給目標的受害者。
一旦執行了這個檔案,TROJ_DOFOIL.GE會下載並執行TSPY_SPCESEND.A。這個下載器同時也會在感染的電腦上安裝其他惡意程式,包括了從BestAV結盟網路來的假防毒軟體變種,和從Yamba網路來的FakeHDD變種。
另外,這一個木馬下載器還跟TSPY_SPCESEND.A共用相同的C&C伺服器。這也強烈地顯示出,做出文件竊取sendspace木馬的犯罪份子,同時也涉及了按成交計費(Pay-Per-Sell,PPS)的地下經濟。
TSPY_SPCESEND.A是一個「拿了就走(grab and go)」木馬程式,它會在中毒電腦的本機硬碟裡搜尋微軟Word 和Excel 文件檔。收集到的檔案會被壓縮起來存放到使用者的暫存資料夾裡,並且利用隨機產生的密碼加密。下圖是一個文件收集壓縮檔的範例:
產生壓縮檔之後,TSPY_SPCESEND.A會將它送到Sendspace.com:
發表者:趨勢科技雲端安全副總裁Dave Asprey
一則有關「環境雲端」(ambient cloud) 的新聞。Internet Explorer 市占率仍持續下滑,而 Google Chrome 正從中受益。(而我之前所信賴的 Firefox 也在萎縮當中 – 或許他們修正了記憶體零碎的問題之後我會再回頭支持。)
乍看之下,除了 SaaS 應用程式是用瀏覽器來存取的之外,很難看出這則新聞和雲端運算有何關聯。但如果從環境雲端的角度來看,瀏覽器本身就是一個雲端。
想像一下:您有一個應用程式在數千萬個處理器上執行,並且擁有 Terabit 的頻寬可讓您隨時更新,因此想做什麼用途都可以。這樣的例子並不多:
第一個例子就是殭屍網路/傀儡網路 Botnet,也就是一群遭到網路駭客入侵的電腦。
第二個例子是一群由廠商或中央管理系統不斷更新或遠端管理的電腦作業系統。
第三個例子是一群由廠商或中央管理系統不斷更新或遠端管理的電腦應用程式。瀏覽器就是這樣一個例子。 繼續閱讀
